双层基于 Web 的应用程序指的是其管理接口是通过 Web 浏览器来访问的现有的应用程序。其执行方式可以是 HTML, CGI 或 Java Applet 和 Servlet(或某种组合)等。这种接口要求安装一个 Web 服务器,并且在安装了该服务的计算机上运行。
因为该接口可通过 URL 来访问,所以有一些安全问题需要考虑。该接口应该受到 Web 服务器的 ACLs 的保护,从而只有授权的管理员才能访问它。要利用 Sun Internet Administrator 提供的管理员管理,您必须使用 SunTM WebServerTM (SWS),而且要用 Sun Internet Administrator 管理 Web 服务器所使用的同一个 ACLs 对其进行配置(见 "为管理员帐户协调进行配置")。
要保障浏览器与管理接口之间的连接,可考虑使用“安全 HTTP” (HTTPS) 或 SKIP。有关如何配置这些安全工具的指导,请参阅 SWS 联机帮助和 SKIP man 页 (/opt/SUNWicp/man)。
在网络中的某台计算机上安装了服务应用程序后,可运行 mcreg(1m) 命令以存储应用程序的信息。此信息被 Sun Internet Administrator 用来正确地处理管理 GUI 的外观和调用。对于 mcreg 命令您所需要的信息是:
组件标识符 (componentID),标识服务应用程序的唯一的字符串。因为它们是唯一的,Solaris for ISPs 建议用软件包的名称作为组件标识符。服务应用程序开发者可选择组件标识符。
一个适合于提供给管理员的用户友善名。这是 Sun Internet Administrator 在其 Manage Services 屏幕中显示的服务名称,管理员可在该屏幕访问全部服务。服务应用程序开发者可选择应用程序名。
登记的应用程序的版本号。版本号的推荐格式为 major.minor(例如,1.2)。服务应用程序开发者可选择版本号。
到基于 Web 的管理接口入口点的 URL。请输入绝对(而非相对)地址。
您得到所需的全部信息后,请按如下所示获取根访问权并登记信息。在安装了服务管理接口的计算机上运行此命令。
# mcreg -c componentID -n name -v version -w URL有关该命令的这种格式的示例,请参阅 mcreg(1m) man 页。
运行 mcreg 之后,您即可以控制台管理员的身份登录 Sun Internet Administrator 并登记新应用程序以进行管理。若您希望其他管理员有权管理新的应用程序,可编辑其管理员访问列表以便将新应用程序包含在内。Sun Internet Administrator 联机帮助对于执行这些任务有详尽的指导。
如果双层服务应用程序使用 SWS 作为其管理接口,则有可能配置服务器的 ACLs 以便使用与 Sun Internet Administrator 相同的管理员登录信息。因此,您要管理的只有单个一组管理员帐户(在目录服务中)。这就简化了这些帐户的管理,提高了您对安全风险情况的反应能力。
您必须先在服务主机(安装了服务应用程序的计算机)上安装 SWS,并且在服务器的文档树内安排好接口文档和文件。然后再配置 SWS 如下:
在 SWS 实体的缺省 Web 站点中创建一个领域:
# htrealm add -i instance -h hostname -r realmname -s ISPADMIN -d ComponentID-VersionNo其中
instance 为正在被配置的 httpd 实体的名称。
hostname 为包含该领域的主机名。
realmname 为您正在创建的领域的名称。
ISPAdmin 为领域的源。输入 ISPADMIN,表明这些是 Sun Internet Administrator 管理员。
ComponentID-VersionNo 为管理 GUI 文件(HTML 及其它)所在的目录。
向该服务的管理 GUI 所在的 URL 添加 ACL 保护:
# htaccess add -i instance -h hostname -U URI -r realname -s BASIC其中
instance 为正在配置的 httpd 实体的名称。
hostname 为运行着 Web 服务器的计算机的名称。
realmname 为您正在创建的领域的名称。
BASIC 为想要的鉴别规划。请输入 BASIC。
重新启动缺省站点,如果它已经运行的话。请使用 SWS 管理 GUI 来执行这项任务。有关详尽的指导可从联机帮助上得到。